Лабораторная работа 6

Накова Амина

Российский университет дружбы народов

2025-09-20

Вводная часть

Цель работы

Развить навыки администрирования ОС Linux. Получить первое практическое знакомство с технологией SELinux. Проверить работу SELinux на практике совместно с веб-сервером Apache.

Ход работы

Подготовка рабочего места

Для проведения указанной лабораторной работы на одно рабочее место требуется компьютер с установленной операционной системой Linux, поддерживающей технологию SELinux. Предполагается использовать стандартный дистрибутив Linux CentOS с включённой политикой SELinux targeted и режимом enforcing. Для выполнения заданий требуется наличие учётной записи администратора (root) и учётной записи обычного пользователя. Постоянно работать от учётной записи root неправильно с точки зрения безопасности (рис. 1).

Рисунок 1: Подготовка рабочего места

Проверка работы SELinux и веб-сервера

Войдите в систему с полученными учётными данными и убедитесь, что SELinux работает в режиме enforcing политики targeted с помощью команд getenforce и sestatus. Обратитесь с помощью браузера к вебсерверу, запущенному на вашем компьютере, и убедитесь, что последний работает: service httpd status или /etc/rc.d/init.d/httpd status. Если не работает, запустите его так же, но с параметром start (рис. 2).

Рисунок 2: Проверка SELinux и Apache

Анализ контекста безопасности Apache

Найдите веб-сервер Apache в списке процессов, определите его контекст безопасности и занесите эту информацию в отчёт. Например, можно использовать команду ps auxZ | grep httpd или ps -eZ | grep httpd Посмотрите текущее состояние переключателей SELinux для Apache с помощью команды sestatus -bigrep httpd. Обратите внимание, что многие из них находятся в положении «off» (рис. 3).

Рисунок 3: Контекст безопасности Apache

Исследование политики SELinux и прав доступа

Посмотрите статистику по политике с помощью команды seinfo, также определите множество пользователей, ролей, типов. Определите тип файлов и поддиректорий, находящихся в директории /var/www, с помощью команды ls -lZ /var/www Определите тип файлов, находящихся в директории /var/www/html: ls -lZ /var/www/html Определите круг пользователей, которым разрешено создание файлов в директории /var/www/html (рис. 4).

Рисунок 4: Исследование политики SELinux

Выводы

В ходе лабораторной работы было получено практическое знакомство с технологией SELinux. Были изучены основные механизмы мандатного разграничения доступа в Linux, работа с контекстами безопасности, портами и политиками.

Исследование показало, что:

  1. SELinux обеспечивает дополнительный уровень безопасности поверх стандартных прав доступа
  2. Контексты безопасности определяют, какие процессы могут обращаться к каким ресурсам
  3. Изменение контекста файла может заблокировать доступ к нему, даже если стандартные права доступа разрешают чтение
  4. Для работы служб на нестандартных портах необходимо явно добавлять эти порты в политику SELinux

Работа позволила получить практические навыки администрирования SELinux и понимание важности мандатного контроля доступа в современных операционных системах.